Bei Googles Veranstaltung Pwnium hat ein Hacker den ersten Exploit für das linuxbasierte Betriebssystem Chrome OS demonstriert. Obwohl er nur unzuverlässig funktioniert, entschied sich Google, ihm 40.000 Dollar Preisgeld zuzusprechen. Er habe „eine plausible Fehlerkette aufgezeigt, die Videoparsing, einen Bug im Linux-Kernel und eine fehlerhafte Config-Datei involvierte. Enthalten war ein unzuverlässiger Exploit, der einen der Fehler nutzte.“
Bei dem Hacker handelt es sich um Pinkie Pie, der im Rahmen von Googles letztjährigem Sicherheitswettbewerb im Oktober den Browser Chrome gecrackt hatte. Google dankte ihm auch dafür, dass er „dem Geist des Wettbewerbs entsprechend“ zur Deadline einen teilweisen Exploit geliefert habe, statt Details für einen kompletten Exploit zurückzuhalten. „Das bedeutet, dass wir schneller Fixes entwickeln und das OS härten können, um die Nutzer sicher zu halten.“ Für einen vollwertigen Exploit auf Browser- oder Systemebene hätte der Hacker nämlich 110.000 Dollar bekommen, für einen auch Reboots überstehenden Hack sogar 150.000 Dollar.
Die genauen Probleme sind nur Chromium-Entwicklern bekannt, Google hat sie aber in der Chrome-OS-Version 25.0.1364.173 vom 15. März behoben. Öffentlich wurde lediglich kommuniziert, dass durch einen fehlerhaften Prozess ein Overflow des Grafikprozessors möglich war und eine weitere Schwachstelle im Treiber für die Intel-Grafik i915 steckte.
Über den Wettbewerb hinaus weist Google darauf hin, dass es im Rahmen des Chromium Vulnerability Reward Program fortlaufend jeden honoriert, der Fehler im Browser Chrome für Desktop und Mobile oder in Chrome OS findet. „Wir haben im Lauf der Jahre mehr als 900.000 Dollar Prämien verteilt und hoffen, bald noch mehr ausgeben zu können. Eine Beteiligung der Security-Community ist mit der beste Weg, alle Internetnutzer abzusichern.“
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
